存在分包的微信小程序解包反编译还原(含报错处理与代码修复)

最新推荐文章于 2024-09-13 15:46:59 发布
最新推荐文章于 2024-09-13 15:46:59 发布
阅读量418 收藏 12
点赞数 17
文章标签: 微信小程序 网络安全 信息安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83799022/article/details/142173520
版权

01前言

本文主要对微信小程序的解包步骤进行复现梳理,网上虽然已有明确详细的文章,但是实际复现过程中程序报错的情况并不少见。对此情况进行了梳理以及对相关工具的代码、调用方式等进行了优化修复。

本文内容:

  1. 常规微信小程序逆向解析的一般步骤
  2. 存在分包的微信小程序wxappUnpacker执行报错问题解决
  3. 微信小程序子包使用wxappUnpacker readme文件中命令解包报错问题解决

02环境准备

  1. 微信app
  2. UnpackMiniApp.exe
  3. npm(node.js)
  4. wxappUnpacker
  5. 微信开发者工具(可选)

03解码复现

小程序解密

小程序解密工具为代码果所编写UnpackMiniApp.exe [https://github.com/Angels-Ray/UnpackMiniApp]
先找到微信的缓存文件位置,点击微信左下角的设置按钮。

找到该文件缓存目录,搜索.wxapkg后缀的文件或直接搜索__APP__.wxapkg文件,根据修改日期、时间找到你想要解包的文件

打开文件夹,发现有多个.wxapkg文件,该小程序存在分包。

打开代码果的解密程序,按照程序提示信息,创建wxpack文件夹

选择微信小程序加密包,进行解密

选择解密后生成的包,并重命名(分包会以相同的命名方式命名,如果小程序有分包,解密后不重命名,分包的解密结果会覆盖主包)

解密包反编译还原

先安装配置工具,参考wxappUnpacker的readme文件[https://github.com/Angels-Ray/wxappUnpacker]
在wxappUnpacker目录下安装依赖(文尾参考文献有node安装参考,以及源替换参考)

将代码果解密的生成文件重命名为[解密完成包.wxapkg],移到wxappUnpacker下的testpkg文件夹,进行解包。

尝试运行,存在分包的小程序运行报错。

wuConfig.js:49
for (let page of subPackage.pages) {
                  ^
TypeError: subPackage.pages is not iterable

找到报错文件

找到报错相关语句

根据报错信息,subPackage.pages不可迭代报错,增添数组校验

if (Array.isArray(subPackage.pages)){
     for (let page of subPackage.pages) {
          let items = page.replace(root, '');
          newPages.push(items);
          let subIndex = pages.indexOf(root + items);
          if (subIndex !== -1) {
               pages.splice(subIndex, 1);
          }
     }
} else {
     console.log('subPackage.pages is not an array:', subPackage.pages);
}

删除之前解包创建的文件夹,重新生成

重新执行生成

正常执行完成,

下一步对分包进行解包,发现报错

wuWxapkg.js:176
throw new Error("检测到此包是分包后的子包, 请通过 -s 参数指定存放路径后重试, 如 node wuWxapkg.js -s=/xxx/xxx ./testpkg/test-pkg-sub.wxapkg");
Error: 检测到此包是分包后的子包, 请通过 -s 参数指定存放路径后重试, 如 node wuWxapkg.js -s=/xxx/xxx ./testpkg/test-pkg-sub.wxapkg

同理排查文件wuWxapkg.js,找到报错行

依据代码中给出的说明,查看执行命令行排查

根据源bat文件的调用方式

传入的-s=../解密完成包中=变成了空格,用引号括起来可以防止这种情况

bingo.bat testpkg/解密完成包_分包1.wxapkg "-s=../解密完成包"

正常解包完成

将其内容复制粘贴到主包中即可

待所有分包处理完毕后,可将整个文件夹用微信开发着工具打开,以便于全局查找

Ctrl+Shift+f全局查找,查看是否存在敏感信息泄露等,一般可关注secret、password等。如果拿到比较重要的secret,比方说云存储的AK/SK,可调取系统存储在云端的数据与文件。

参考文献

  1. 微信小程序逆向:https://blog.csdn.net/Python_0011/article/details/134681114
  2. node安装配置:https://blog.csdn.net/qq_42006801/article/details/124830995
  3. node源替换:https://blog.csdn.net/gitblog_00001/article/details/141760237
  4. 代码果解密工具UnpackMiniApp:https://github.com/Angels-Ray/UnpackMiniApp?tab=readme-ov-file
  5. 微信解包工具wxappUnpacker:https://github.com/Angels-Ray/w
网络安全工程师老王
关注
微信小程序反编译解包教程
07-18 1万+
步骤一:获取小程序的.wxapkg包 (1)安装手机模拟器,比如说夜神、MuMu(https://mumu.163.com/360/) (2)下载和安装应用,微信和RE文件管理器 (3)开启root权限 (4)打开微信,搜索相对应的小程序,然后再打开RE文件管理器,定位到目录: 安卓:/data/data/com.tencent.mm/MicroMsg/【一个32位的16进制字符串名文件夹...
APP攻防——微信小程序&解包反编译&数据抓包&APK资源提取
m0_61506558的博客
01-16 3125
安卓的版本一般真机都高于7.0,微信版本更改不了,安卓版本需要刷机才有可能到达7.0以下版本。 基于上述我们解决的方式如下:将证书安装到系统证书中(需要root)苹果手机(苹果手机不受此影响)采用安卓系统低于7.0的模拟器 使用低版本电脑版微信小程序抓包
微信小程序反编译/解包
wei_java144的博客
05-24 2170
A:使用 wxapkg 的 scan 功能,联网状态下会获取小程序名称。或者删除目录下所有文件再打开一次小程序。⚠新版功能更丰富,但转为闭源,订阅制收费。本文使用 2.0 免费版本。Q:小程序目录下文件太多了,找不到要解包的小程序?A:在微信的设置找到文件路径,小程序文件位于。付费使用最新版,免费使用流传最后一版免费版本。下载可执行文件,或者下载源码编译。使用 unpack 功能解包小程序。使用 scan 功能解包小程序。微信版本:3.9.10.19。Q:如何找到小程序文件位置?wx 子命令支持更多操作。
微信小程序抓包与逆向+微信小程序反编译教程+解包教程+解包工具_hook微信小程序(1)
2301_82056337的博客
05-02 4446
1.建议修改微信PC端默认的小程序包位置默认是在C盘,太占内存,建议修改2.打开一个小程序然后在pc端打开一个小程序,尽可能点开所有的页面,让本地自动生成一个本地包,在刚刚设置好的文件夹(如上图)里,内容如下:.wxapkg就需要用到我们前面的解密软件。
APP渗透—微信小程序解包反编译、数据抓包
剁椒鱼头没剁椒的博客
05-05 5763
在之前的第一篇文章中简单的描述了一下微信小程序抓包的过程,但是不是很详细,所以这里单独写一篇关于微信小程序抓包、解包反编译的一篇文章。这里对小程序进行抓包、反编译等操作,都是为了进行信息收集,主要就是提取资产进行渗透测试
微信小程序抓包与逆向+微信小程序反编译教程+解包教程+解包工具
热门推荐
小小白哈喽的博客
11-11 1万+
下面的操作,都是在cmd命令窗口中操作的,需要强调的是,必须在wxapxxxxker路径里才可以,简易方法是,直接在【wxapxxxer】文件夹的地址栏里输入cmd即可。上来先梭哈分析,毕竟预约嘛,那肯定需要分析包,当开始抓包的哪一个,心里默念了很多我 ** 你的大 **那该怎么办,单子接了,不能放弃。网上有很多教程,是用root过的手机提取小程序包,其实不用那么麻烦,直接用微信PC客户端就可以了。说明你找的小程序,是大神开发的,已经做了反编译的安全措施,所以解密失败,这也是我发这篇文章的目的。
微信小程序反编译
01-27
欢迎大家使用本程序解包一些开源或经作者授权的小程序包供学习小程序编写或供在电脑端使用小程序或通过研究本项目代码来了解小程序本地运行的部分原理、发现小程序编译时本身的(这个或许现在已经修了)... ...
PC微信小程序包解密工具.zip
12-22
2.打开UnpackMiniApp.exe解密PC电脑版微信的__APP__.wxapkg文件,解密后才可再反编译。 3.进入解压的目录安装如下依赖 npm install npm install esprima npm install css-tree npm install cssbeautify npm install...
微信小程序反编译(最新版).7z
11-11
2. **解包功能**:编译后的微信小程序包通常是一个加密的.jsbundle文件,反编译工具能将其解包还原成可读的JavaScript、WXML和WXSS文件。 3. **恢复丢失文件**:在某些情况下,反编译过程可能会导致部分文件丢失...
微信小程序之轮播图组件封装
weixin_72254790的博客
09-13 194
文件目录组件的定义:swiper-rotation-chat.wxml。
基于微信小程序的图书馆预约占座系统
最新发布
计算机学姐的博客
09-13 833
基于微信小程序+Java+SpringBoot+Vue+MySQL的图书馆预约占座系统的设计与实现
微信小程序页面制作——个人信息
不迁怒,不贰过。小知识,大智慧。
09-05 1790
1. WXML简介 2. WXSS简介 3. 常用组件 4. 页面路径配置 5. view组件 6. image组件 7. rpx单位 8. 样式导入
基于微信小程序的宠物之家的设计与实现
计算机学姐的博客
09-10 925
基于微信小程序+Java+SpringBoot+Vue+MySQL的宠物之家/宠物综合平台的设计与实现【附源码文档】
开发一款通过蓝牙连接控制水电表的微信小程序
mon_star°的博客
09-06 1534
为了更好的解决师生生活中的实际问题,开发蓝牙小程序加强了和校区硬件的交互。蓝牙水电控展示蓝牙水电控展示微信小程序实现蓝牙BLE:步骤:1、wx.openBluetoothAdapter//蓝牙初始化2、 wx.onBluetoothDeviceFound //监听寻找到新设备的事件3、 wx.startBluetoothDevicesDiscovery //开始搜寻附近的蓝牙外围设备4、 wx.getBluetoothDevices//获取在蓝牙模块生效期间所有已发现的蓝牙设备。
微信小程序中数值计算的精度丢失问题
Xiang_Gong_Ya_的博客
09-10 460
微信小程序中,当你遇到数值计算的精度丢失问题时,主要是因为 JavaScript 在处理浮点数时存在固有的精度问题。这是因为计算机内部使用二进制形式存储数字,而某些十进制小数在二进制中无法精确表示,从而导致了精度误差。
微信小程序原生支持TS、LESS、SASS能力探究
曹定栓的博客
09-09 1108
在之前开发小程序中,无法使用 less/sass 等 css 预编译语言,也无法使用 TS 进行开发,但在最新的编辑器版本中,对这些进行了支持。
微信小程序-formData使用
fyphome
09-08 1613
在小程序中使用formdata上传数据,可实现多文件上传跟浏览器中的FormData对象类似 引入js文件new一个FormData对象调用它的append()方法来添加字段或者调用appendFile()方法添加文件formData.appendFile("file", filepath, "文件名");添加完成后调用它的getData()生成上传数据,之后调用小程序的wx.request提交请求url: 'https://接口地址',header: {},});
基于微信小程序+Java+SSM+Vue+MySQL的药店管理系统
计算机学姐的博客
09-09 1267
基于微信小程序+Java+SSM+Vue+MySQL的药店管理系统【附源码文档】
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值